How to เตรียมความพร้อมรับกฎหมาย PDPA ถึงเวลาที่ธุรกิจต้องตื่นตัว

January 04, 2022

How to เตรียมความพร้อมรับกฎหมาย PDPA ถึงเวลาที่ธุรกิจต้องตื่นตัว

กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 นี้ สำหรับ PDPA เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

ธุรกิจอะไรบ้างที่ต้องปฏิบัติตามกฎหมาย PDPA

จะเห็นได้ว่าองค์กรที่มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคล เพื่อใช้ประกอบธุรกิจ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลของลูกค้า ข้อมูลส่วนบุคคลของพนักงานในองค์กร ข้อมูลส่วนบุคคลของคู่ค้า (Vendor) เรียกได้ว่าแทบจะทุกธุรกิจที่มีข้อมูลส่วนบุคคลเหล่านี้อยู่ในครอบครอง ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ จำเป็นต้องปฏิบัติตาม PDPA ทั้งสิ้น

PDPA Compliance Guideline คืออะไร

PDPA Compliance Guideline เป็นขั้นตอนการเตรียมตัวสำหรับองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคล เนื่องจากกฎหมาย PDPA กำหนดให้การดำเนินงานขององค์กรต้องสอดคล้องกับ PDPA องค์กรจึงจำเป็นต้องเตรียมนโยบาย จัดทำเอกสารทางกฎหมาย วางมาตรการความปลอดภัยเพื่อคุ้มครองข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงาน รวมทั้งสร้างความรับรู้และความเข้าใจเรื่อง PDPA ให้กับบุคลากรในองค์กร Guideline นี้จึงถือว่าเป็นตัวช่วยที่เตรียมความพร้อมให้กับองค์กรก่อนที่กฎหมาย PDPA บังคับใช้เต็มรูปแบบในปีหน้า

ทำไมถึงต้องมี PDPA Compliance Guideline

การปฏิบัติตาม PDPA มีรายละเอียดตามกฎหมายปลีกย่อยมากมาย นอกจากนี้ยังมีวิธีปฏิบัติจากผู้เชี่ยวชาญ PDPA หากองค์กรที่ไม่มีความรู้ความเข้าใจอาจต้องใช้เวลาเตรียมการมากกว่า 2-3 เดือนขึ้นไป ดังนั้น Guideline จึงมีข้อดีและประโยชน์ต่อองค์กรที่ต้องการจัดทำ PDPA หลายด้าน เช่น

  • สะดวก มีขั้นตอนการเตรียมการเพื่อจัดทำตาม PDPA อย่างชัดเจน
  • จัดทำ PDPA ได้รวดเร็วมากขึ้น
  • เกิดความปลอดภัยต่อข้อมูลส่วนบุคคลที่องค์กรดูแล
  • ลดความเสี่ยงการได้รับโทษทางกฎหมาย
  • เพิ่มความน่าเชื่อถือให้กับองค์กร
  • เริ่มเตรียมความพร้อมก่อน จึงได้เปรียบกว่าองค์กรอื่นที่เริ่มช้ากว่า

สรุปขั้นตอนสำหรับองค์กรที่ต้องการทำ PDPA (Compliance Guideline)

กฎหมาย PDPA กำหนดว่าเมื่อองค์กรได้ข้อมูลส่วนบุคคลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย โดยขั้นตอนสำคัญที่องค์กรต้องมีเพื่อเตรียมความพร้อมตาม PDPA มีดังนี้

  1. ตรวจสอบว่าองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง

  2. จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity: ROPA) ซึ่งเป็นเอกสารสำคัญสำหรับการใช้หรือประมวลผลข้อมูลส่วนบุคคลเพื่อให้เกิดความโปร่งใส โดยใช้บันทึกรายละเอียดการจัดเก็บข้อมูล ว่ามีวัตถุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง

  3. จัดทำเอกสารทางกฎหมายเพื่อลดความเสี่ยงในการเกิดข้อพิพาทจากการไม่ปฏิบัติให้เป็นไปตาม PDPA เช่น การจัดทำ Privacy Policy หรือการแจ้งขอ Consent ผ่าน Privacy Notice เป็นต้น

  4. บริหารจัดการข้อมูลภายในองค์กร โดยวางระบบจัดการและขั้นตอนการใช้ข้อมูลส่วนบุคคลภายในองค์กร

  5. สร้างความตระหนักและความรู้ให้บุคลากรภายในองค์กร

  6. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer)

องค์กรที่เตรียมพร้อมเพื่อปฏิบัติตามกฎหมาย PDPA แต่เนิ่นๆ จะทำให้ได้เปรียบคู่แข่ง สิ่งที่เป็นปัจจัยสำคัญคือข้อกฎหมายลำดับรองและแนวปฏิบัติที่ปรับเปลี่ยนตลอดเวลาและอาจมีการประกาศใช้เพิ่มเติมในอนาคต ซึ่งอาจทำให้ธุรกิจที่ไม่มีทีมกฎหมายหรือความเชี่ยวชาญเฉพาะด้านต้องเสียทรัพยากรในการศึกษา PDPA เพิ่มเติม รวมถึง อาจเกิดผลกระทบต่อแนวทางการจัดการขององค์กร ดังนั้น เพื่อลดความเสี่ยงที่องค์กรอาจไม่ได้ปฏิบัติตาม PDPA ให้สอดคล้องซึ่งจะมีโทษความรับผิดตาม PDPA ตามมา ทางเลือกที่น่าสนใจสำหรับองค์กรที่ต้องการเตรียมความพร้อมเพื่อปฏิบัติตาม PDPA คือการเลือกใช้บริการจัดทำ PDPA ครบวงจร อย่างบริการจาก PDPA Core ซึ่งมีผู้เชี่ยวชาญเฉพาะด้านกฎหมายมากประสบการณ์ที่จะให้คำแนะนำและจัดทำเอกสารกฎหมายที่จำเป็นทั้งหมดเพื่อให้การดำเนินธุรกิจขององค์กรสอดคล้องตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

คลิกที่นี่ เพื่อดาวน์โหลด PDPA Compliance Guideline แนวปฏิบัติเบื้องต้นสำหรับดำเนินการ ให้องค์กรสอดคล้อง PDPA

ให้คำปรึกษาและดำเนินการ

ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

ดูข้อมูลเพิ่มเติม

บริษัท เดต้า ว้าว จำกัด

1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-9119

sales@datawow.io

ISO